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63500 Seligenstadt 



Beschreibung 

Verfahren zur Ubertragung von Paten in ein oder aus einem Steuerungsgerat wie speicher- 
programmierbare Steuerung sowie Steuerungsgerat 

Die Erfindung bezieht sich auf ein Verfahren zur Ubertragung von Daten in ein oder aus 
einem Steuerungsgerat sowie auf ein Steuerungsgerat. 

Nach dem Stand der Technik werden bei einem Steuerungsgerat Software-Updates wie bei- 
spielsweise ein Firmware-Update durch einen Techniker mit einem speziellen Programmierge- 
rat vor Ort durchgefuhrt Dabei hat der Techniker nach Eingabe eines entsprechenden 
Passwortes Zugriff auf den gesamten Speicherbereich, so dass dieser manipuliert werden 
kann. Oft besteht auch die Notwendigkeit, einem Anwender des Steuerungsgerates entspre- 
chende Zugriffe beispielsweise zur Anderung und Aktualisierung von Prozessdaten zur 
;j/erfugung zu stellen, wobei der Nachteil besteht, dass durch ungeschultes Personal wichtige 
Programmteile zerstort werden konnen. 

In jiingster Zeit konnen Steuerungsgerate wie speicherprogrammierbare Steuerungen auch 
uber Datennetze wie beispielsweise ein Intranet oder das Internet manipuliert bzw. program- 
miert werden. Dabei tritt ebenfalls das Problem auf, dass nicht autorisierte Personen und/oder 
nicht autorisierte Programme/Daten Zugriff auf die speicherprogrammierbare Steuerungen 
erhalten und somit eine ungewollte Zustandsanderung der speicherprogrammierbaren Steue- 
rungen verursachen. 
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Davon ausgehend liegt der vorliegenden Erfindung das Problem zu Grunde, ein Verfahren 
und ein Steuerungserat der zuvor genannten Art dahingehend weiterzubilden, dass die 
Sicherheit der Dateniibertragung von und zu dem Steuerungsgerat verbessert wird. Ins- 
besondere sollen nur autorisierte Personen Zugriff auf das Steuerungsgerat erhalten. 

Die Losung des Problems erfolgt durch folgende erfindungsgemaBen Verfahrensschritte: 

Codieren der Daten senderseitig mit zumindest einer individuellen Senderkennung, 
Decodieren der Daten empfangerseitig und Priifen der individuellen Senderkennung 
auf Gultigkeit, 

Vergleich der individuellen Senderkennung mit definierten Senderkennungen, 
Zuteilung von Benutzerrechten zur Zustandsanderung der tibertragenen Daten und/oder 
des Steuerungsgerates entsprechend einer empfangerseitig hinterlegten Berechtigungs- 
liste, sofern die individuelle Senderkennung in der Berechtigungsliste aufgefuhrt ist, 
Verwerfen der Daten, spfem die individuelle Senderkennung ungultig oder nicht in 
der Berechtigungsliste aufgefuhrt ist. 

i 

Das erfindungsgemaBe Verfahren bietet den Vorteil, dass nur autorisierten Personen mit einer 
definierten Senderkennung und/oder entsprechend codierten Programmen der Zugriff auf das 
Steuerungsgerat ermoglicht wird. Dadurch ist gewahrleistet, dass eine Anderung von in dem 
Speicher des Steuerungsgerates enthaltenen Firmware, Anwendungsprogrammen und Prozess- 
.laten nur von dem Hersteller bzw. den daftir autorisierten Personen durchfuhrbar ist. 

Eine bevorzugte Aiisfuhrungsform sieht vor, dass die Daten senderseitig mit einer digitalen 
Signatur und/oder einem offentlichen Schliissel (public key) codiert werden und dass die 
Daten empfangerseitig mit einem zugehorigen geheimen Schliissel decodiert und/oder die 
digitale Signatur verifiziert wird. Dies bedeutet, dass jeder Transfer von Daten zu oder von 
einem Steuerungsgerat wie speicherprogrammierbare Steuerung (SPS) digital unterschrieben 
ist (digitale Signatur). Nach einem Transfer wird zuerst die Signatur gepriift. Ist diese 
ungultig, so werden die transferierten Daten verworfen; anderenfalls wird uberpruft, ob der 
Unterschreibende die notigen Rechte hat, um den Transfer durchzufuhren. Sofern der Sender 
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die Rechte besitzt, werden die Daten verarbeitet, ansonsten werden die transferierten Daten 
verworfen. 

Wenn ein Benutzer Daten digital signiert, fiigt er den Daten seine digitale Signatur und 
gegebenenfalls sein Zertifikat hinzu. Ein Zertifikat besteht, wie im Bereich der digitalen 
Signaturen ublich, zumindest aus der Kennung und dem offentlichen Schlussel des Zertifika- 
tinhabers und der digitalen Signatur des Zertifikatherausgebers iiber die Inhaberdaten. In dem 
Steuerungsgerat kann die digitale Signatur zur Uberpriifung der Identitat und Autorisierung 
des Senders bzw. des Unterschreibenden verwendet werden und den zugehorigen offentlichen 
Schlussel, urn mit verschliisselten Daten zu antworten, die nur der urspriingliche Absender 
mit seinem privaten Schlussel lesen kann. Auch besteht die Moglichkeit, dass die Daten 
senderseitig mit dem offentlichen Schlussel eines Empfangers und dem Steuerungsgerat 
codiert werden. 

Kann das Steuerungsgerat das Zertifikat nicht direkt verifizieren, so bezieht es iiber die 
Zertifikatsinfrastruktur solange Zertifikate, bis eine Kette von Zertifikaten aufgebaut wurde, 
die von einem verifizierbaren Zertifikat aus luckenlos verifiziert werden kann. 

Bei der Datenubertragung von dem Steuerungsgerat zu einem Empfanger ist vorgesehen, 
dass die Daten in dem Steuerungsgerat mit einer digitalen Signatur codiert werden, so dass 
eine nachtragliche Manipulation der Daten verhindert wird. 

Insbesondere konnen Ubertragungsarten xind/oder Grenzbereiche definiert werden, wobei bei 
einer Datenubertragung aus dem Steuerungsgerat eine Codierung mit digitaler Signatur 
und/oder offentlichem und/oder privatem Schlussel erfolgt. 

Vorzugsweise ist die Berechtigungsliste empfangerseitig in einem Speicher des Steuerungs- 
gerates hinterlegt. Der Speicherbereich selbst ist iiber die Codierung der zu ubertragenen 
Datei gezielt ansteuerbar. Auch ist die Berechtigungsliste individuell anpassbar. 
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Zur weiteren Erhohung der Sicherheit ist vorgesehen, dass fur die in dem Steuerungsgerat 
hinterlegten Berechtigungslisten ebenfalls Zugriffsrechte vergeben werden. Mit anderen 
Worten kann ein Unbefiigter den Schutz durch Manipulation der Berechtigungslisten nicht 
aushebeln. 

Ein Steuerungsgerat wie speicherprogrammierbare Steuerung zeichnet sich dadurch aus, dass 
dieses eine Empfangseinheit mit einer Decodiereinheit zur Decodierung zumindest einer 
Senderkennung der empfangenen Daten aufweist, wobei das Steuerungsgerat eine Berechti- 
gungsliste aufweist, in der unterschiedlichen Senderkennungen Rechte zur Zustandsanderung 
des Steuerungsgerates zugeteilt sind und wobei der Zustand des Steuerungsgerates bei 
giiltiger und in der Berechtigungsliste aufgefuhrter Senderkennung entsprechend der in der 
Liste vergebenen Rechte veranderbar ist. 

Urn zu gewahrleisten, dass von dem als speicherprogrammierbare Steuerung ausgebildeten 
Steuerungsgerat gesendete Daten nachtraglich nicht manipuliert werden konnen ist vor- 
gesehen, dass das Steuerungsgerat eine Sendereinheit mit einer Codiereinrichtung zur Codie- 
rung von zu sendenden Daten aufweist, wobei in der Codiereinrichtung eine digitale Signatur 
und/oder ein offentlicher Schliissel zur Codierung der Daten enthalten ist. 

Der Speicherbereich des Steuerungsgerates ist in definierbare Bereiche unterteilt, wobei fur 
~??den Speicherbereich in einer Berechtigungsliste fur verschiedene Senderkennungen Rechte 
deiinierbar sind. Beispielsweise kann der Hersteller Rechte derart vergeben, dass ein Firmwa- 
re-Speicherbereich nur von der dem Hersteller zugeordneten Senderkennung manipulierbar ist. 
Dadurch ergibt sich der Vorteil, dass sich die Firmware beispielsweise uber das Internet 
aktualisieren lasst oder in Form einer Datei auslieferbar ist, die ein Kunde der speicher- 
programmierbaren Steuerung selbst in diese einspeichert. Da die Signatur der Datei bei einer 
Manipulation ihre Giiltigkeit verliert, kann nur die autorisierte Aktualisierung eingespielt 
werden. 
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Der Aufbau der erfindungsgemaBen speicherprogrammierbaren Steuerung bietet weiterhin den 
Vorteil, dass fur Maschinenhersteller (im vorliegenden Fall OEM genannt), die die speicher- 
programmierbare Steuerung zur Steuerung einer Produktionseinrichtung verwenden, die 
Berechtigung fiir einen von dem OEM verwendeten Programmspeicher derart definierbar ist, 
dass nur der OEM diesen Bereich beschreiben kann und dass sonst kein Unbefugter diesen 
Bereich lesen darf. Die Berechtigungsliste kann so eingestellt sein, dass ein Kunde des OEM 
weitere Programmteile in den nicht geschiitzten Speicherbereichen einspeichem kann. 

Zur weiteren Absicherung der Dateniibertragung ist vorgesehen, dass ein verschlusselter 
Datentransfer erfolgt. Dadurch lassen sich beispielsweise Prozessdaten aus der speicher- 
programmierbaren Steuerung auch xiber unsichere Medien wie beispielsweise das Internet 
iibertragen. Ein verschlusselter Datentransfer kann auch von einem OEM verwendet werden, 
um ein Anwendungsprogramm aus der speicherprogrammierbaren Steuerung auszulesen, ohne 
dass das Anwendungsprogramm beim Datentransfer von Dritten entschlusselt werden kann. 

Weitere Einzelheiten, Vorteile und Merkmale der Erfindung ergeben sich nicht aus den 
Anspriichen, den diesen zu entnehmenden Merkmalen - fur sich und/oder in Kombination -, 
sondern auch aus der nachfolgenden Beschreibung eines der Zeichnung zu entnehmenden 
Ausfuhrungsbeispiels. 

Die einzige Figur zeigt rein schematisch ein Verfahren zur Ubertragung einer Datei 10 durch 
:;;nen Sender wie autorisierte Person 12 xiber ein Medium 14, das im vorliegenden Beispiel 
als Datennetz wie Intranet oder Internet ausgebildet ist, zu einem Empfanger 16, der im vor- 
liegenden Ausfuhrungsbeispiel als Steuerungsgerat 16 wie speicherprogrammierbare Steue- 
rung oder PC-basierte Steuerung ausgebildet ist. 

Die zu sendende Datei 10 wird zunachst codiert, indem der Datei 10 eine digitale Signatur 
18 des Benutzers 12 und ein offentlicher Schlxissel 20 (public key) zugefugt wird. Die Kom- 
bination aus digitaler Signatur 18 und offentlichem Schliissel 20 kann auch als Zertifikat 
bezeichnet werden, das bei Certification Authorities (CA) wie beispielsweise Veri Sign erhalt- 
lich ist. Die auf diese Weise signierte bzw. codierte Datei 10' wird liber das Medium 14 ver- 
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schlusselt ubertragen. In der speicherprogrammierbaren Steuerung 16 ist ein Wurzelzertifikat 
22 enthalten, umfassend eine digitate Signatur 24 sowie einen geheimen privaten und/oder 
offentlichen Schlussel 20, urn die Datei 10' zu decodieren. Ist die Signatur 18 ungiiltig, so 
wird die transferierte Datei 10' verworfen. Ist die Signatur 18 gultig, wo wird iiberpriift, ob 
der Benutzer 12 die notigen Rechte hat, urn den Transfer durchzufiihren. Hierzu ist in dem 
Steuerungsgerat 16 eine Berechtigungsliste 28 in Form einer Tabelle abgelegt. Sind diese 
Rechte vorhanden, kann die Datei 10 verarbeitet werden. Ein Speicherbereich der speicher- 
programmierbaren Steuerung 16 ist gemaB Ausfuhrungsbeispiel in definierbare Bereiche 
(BSS, PS, DS) unterteilt. Fur jeden Speicherbereich wie beispielsweise Betriebssystems- 
speicher (BSS), Progranunspeicher (PS) sowie Datenspeicher (DS) sind in der Tabelle 28 fur 
jede Senderkennung ID1 ... IDn, d. h. jede senderseitige digitate Signatur ID 1, ID 2, .... IDn 
Rechte wie beispielsweise Lesen (L) und/oder Schreiben (S) definiert. 

In dem hier dargestellten Ausfuhrungsbeispiel sind in der Tabelle 28 insgesamt drei Benutzer 
ID 1 ... ID 3 sowie drei Speicherbereiche BSS, PS und DS definiert. Einem Hersteller der 
speicherprogrammierbaren Steuerung 16 ist beispielsweise die Senderkennung ID 1 zugeord- 
net. Sobald eine Datei 10 f mit der Signatur ID 1 erkannt wird, werden die Rechte Lesen und 
Schreiben fur samtliche Speicherbereiche zugeteilt. Durch die dargestellte Berechtigungs- 
tabelle ist es beispielsweise nur dem Hersteller erlaubt, den Firmware-Speicherbereich BSS 
anzusprechen. Auch kann beispielsweise eine signierte Datei 10 T einem Kunden ausgeliefert 
werden mit der Moglichkeit, dass der Kunde die Datei in die speicherprogrammierbare 
Steuerung 16 einspielt, ohne auf den Speicher selbst Zugriff zu haben. 

Auch besteht die Moglichkeit, dass ein Maschinenhersteller (OEM) fur die von ihm ver- 
wendeten Programmspeicher die Berechtigung so programmiert, dass nur der OEM den 
Bereich beschreiben und kein Unbefugter daraus lesen darf, wobei jedoch der Kunde weitere 
Programmteile in nicht geschiitzten Programmspeicherbereichen unterbringen kann. 

Selbstverstandlich besteht auch die Moglichkeit, dass in der speicherprogrammierbaren 
Steuerung 16 selbst eine Zertifikat-Infirastruktur bestehend aus dem offentlichen Schlussel 26 
(public key), einem privaten Schlussel (private key) und einer digitalen Signatur 24 enthalten 
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ist. Dadurch lassen sich Transferarten bzw. Speicherbereiche definieren, bei denen die 
speicherprogrammierbare Steuerung die Daten digital unterschreibt, wodurch eine nach- 
tragliche Manipulation der Daten verhindert wird. Selbstverstandlich werden auch fur die 
Berechtigungslisten/Tabellen 28 die Rechte zum Zugriflf verwendet, so dass kein Unbefugter 
den Schutz durch Manipulation der Listen aushebeln kann. 

Des Weiteren lasst sich mit der Zertifikats-Infrastruktur 18, 20, 22, 24, 26 auch ein verschlxis- 
selter Datentransfer bewerkstelligen, so dass Prozessdaten aus der speicherprogrammierbaren 
Steuerung auch uber Medien, wie beispielsweise das Internet iibertragen werden konnen. Der 
verschlusselte Datentransfer kann auch von einem Maschinenhersteller (OEM) verwendet 
werden, um Anwendungsprogramme aus dem Gerat auszulesen, die Dritten nicht zuganglich 
werden diirfen. 



07. August 2000-40434b/hk 



1 

Schneider Automation GmbH 
Steinheimer Str. 117 

63500 Seligenstadt 



Patentanspruche 

Verfahren zur Ubertragung von Paten in ein oder aus einem Steuerungsgerat wie speicher- 
programmierbare Steuerung sowie Steuerungsgerat 

1 . Verfahren zur Ubertragung von Daten in ein oder aus einem Steuerungsgerat (16) wie 
speicherprogrammierbare Steuerung, gekennzeichnet durch folgende Verfahrens- 
schritte: 

Codieren der Daten (10) senderseitig mit ziimindest einer individuellen Sen- 
derkennung (18, 24), 

Decodieren der Daten (10) empfangerseitig und Priifen der individuellen 
Senderkennung (18, 24) auf Gultigkeit, 

Vergleich der individuellen Senderkennung (18, 24) mit definierten Senderken- 
nungen (ID 1, ID 2 ... ID n), 

Zuteilung von Benutzerrechten zur Zustandsanderung der iibertragenen Daten 
(10) und/oder des Steuerungsgerates entsprechend einer empfangerseitig hinter- 
legten Berechtigungsliste (28), sofern die individuelle Senderkennung (18, 24) 
in der Berechtigungsliste (28) enthalten ist und 

Verwerfen der Daten (10), sofern die individuelle Senderkennung (18) ungiiltig 
oder nicht in der Berechtigungsliste (28) enthalten ist. 
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2. Verfahren nach Anspruch 1, 
dadurch gekennzeic-hnet, 

dass die Berechtigungsliste (28) empfangerseitig in einem Speicher des Steuerungs- 
gerates (16) hinterlegt wird. 

3. Verfahren nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, 

dass ein ISpeicherbereich (BSS, PS, DS) des als speicherprogrammierbare Steuerung 
ausgebildeten Steuerungsgerates (16) iiber die Codierung der zu iibertragenen Datei 
gezielt ansteuerbar ist. 

4. Verfahren nach zumindest einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Berechtigungsliste (28) individuell anpassbar ist, wobei eine Manipulation der 
Berechtigungsliste (28) nur mit entsprechenden Rechten moglich ist. 

5. Verfahren nach zumindest einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass Ubertragungsarten und/oder Speicherbereiche (BSS, PS, DS) definiert werden, 
wobei bei einer Datenubertragung aus dem Datenverarbeitungsgerat (16) eine Codie- 
rung mit digitaler Signatur (24) und/oder offentlichem und/oder privatem Schlussel 
(26) erfolgt. 

6. Verfahren nach zumindest einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Daten (10) senderseitig mit einer digitalen Signatur (18) und einem offentli- 
chen Schlussel (20) (public key) codiert werden und dass die Daten (10) empfanger- 
seitig mit einem zugehorigen geheimen Schlussel (22) decodiert werden. 
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7. Verfahren nach zumindest einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Daten (10) verschliisselt ubertragen werden. 

8. Verfahren nach zumindest einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Daten (10) iiber ein Datennetz (14) wie Intranet oder Internet ubertragen 
werden. 

9. Steuerungsgerat wie speicherprogrammierbare Steuerung, 
dadurch gekennzeichnet, 

dass das Steuerungsgerat (16) eine Empfangseinheit mit einer Decodiereinheit zur 
Decodierung zumindest einer Senderkennung (18) von empfangenen Daten (10') 
aufweist, dass das Steuerungsgerat (16) eine Berechtigungsliste (28) aufweist, in der 
unterschiedlichen Senderkennungen (ID 1 ... ID n) Rechte zur Anderung des Zustan- 
des des Steuerungsgerates (16) zugeteilt sind und dass der Zustand des Steuerungs- 
gerates bei gultiger und in der Berechtigungsliste (28) enthaltener Senderkennung (ID 
1 ... ID n) entsprechend der in der Berechtigungsliste (22) vergebenen Rechte ver- 
anderbar ist. 

10. Steuerungsgerat nach Anspruch 9, 
dadurch gekennzeichnet, 

dass das Steuerungsgerat (16) eine Sendeeinheit mit einer Codiereinrichtung zur 
Codierung von zu sendenden Daten (10) aufweist, dass in der Codiereinrichtung eine 
digitale Signatur und/oder ein offentlicher Schliissel zur Codierung der Daten enthal- 
ten ist. 
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11. Steuerungsgerat nach Anspruch 9 oder 10, 
dadurch g ek ennzeichnet , 

dass der Speicherbereich der speicherprogrammierbaren Steuerung in frei definierbare 
Bereiche (BSS, PS, DS) unterteilt ist, wobei fiir jeden Speicherbereich (BSS, PS, DS) 
in der Berechtigungsliste (28) Rechte fur verschiedene Senderkennungen (ID 1, ID 2, 
IDn) definierbar sind. 

12. Steuerungsgerat nach Anspruch bis 11, 
dadurch g ek ennzeichnet, 

dass das Steuerungsgerat eine speicherprogrammierbare Steuerung ist. 
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Schneider Automation GmbH 
Steinheimer Str. 117 
63500 Seligenstadt 

Zusammenfassung 

Verfahren zur Ubertragung von Paten in ein oder aus einem Steuerungsgerat wie speicher- 
programmierbare Steuerung sowie Steuerungsgerat 

Die Erfindung bezieht sich auf ein Verfahren zur Ubertragung von Daten in ein oder aus 
einem Steuerungsgerat (16) wie speicherprogrammierbare Steuerung. Zur Erhohung der 
Sicherheit der Dateniibertragung sind folgende Verfahrensschritte vorgesehen: 

Codieren der Daten (10) senderseitig mit zumindest einer individuellen Senderken- 
nung (18, 24), 

Decodieren der Daten (10) empfangerseitig und Priifen der individuellen Senderken- 
-nung (18, 24) auf Giiltigkeit, 

Vergleich der individuellen Senderkennung (18, 24) mit definierten Senderkennungen 
(ID 1, ID 2 ... ID n), 

Zuteilung von Benutzerrechten zur Zustandsanderung der iibertragenen Daten (10) 
und/oder des Steuerungsgerates entsprechend einer empfangerseitig hinterlegten 
Berechtigungsliste (28), sofern die individuelle Senderkennung (18, 24) in der Berech- 
tigungsliste (28) enthalten ist und 

Verwerfen der Daten (10), sofern die individuelle Senderkennung (18) ungultig oder 
nicht in der Berechtigungsliste (28) enthalten ist. 

Ein Steuerungsgerat wie speicherprogrammierbare Steuerung zeichnet sich dadurch axis, dass 
eine Codier- und Decodiereinheit sowie eine Berechtigungsliste vorgesehen sind, in der 
Benutzerrechte fur verschiedene Benutzer hinterlegt sind. 
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